El scraping de datos en LinkedIn (y otras redes sociales)– la extracción masiva de información de perfiles – se ha convertido en tema candente tras la reciente ofensiva de la red social profesional contra esta práctica.
LinkedIn ha tomado medidas enérgicas para frenar la recopilación no autorizada de datos personales, despertando el debate sobre la responsabilidad de las plataformas en proteger la privacidad de sus usuarios.
A continuación analizamos la postura de LinkedIn, los paralelismos con los problemas de Meta, la legalidad del scraping bajo el GDPR (Reglamento General de Protección de Datos) y por qué “lo público” no siempre significa “libre de uso”.
Al final, te invitamos a tomar acción para cuidar tus propios datos personales en las redes sociales.
La postura de LinkedIn y su responsabilidad en la protección de datos
LinkedIn se ha posicionado firmemente en contra del scraping no autorizado de los datos de sus usuarios. Sus términos de servicio prohíben expresamente el uso de herramientas de terceros para extraer información de la plataforma
Esto se debe a que LinkedIn considera sus datos un activo valioso (que monetiza a través de publicidad y suscripciones premium) y, sobre todo, porque tiene la responsabilidad de proteger la privacidad de los profesionales que confían sus datos a la red.
En fechas recientes, LinkedIn demostró su ofensiva contra el scraping al tomar acciones concretas contra empresas dedicadas a esta práctica. Por ejemplo, el 6 de marzo de 2025 desaparecieron de LinkedIn los perfiles corporativos de dos populares plataformas de generación de leads, Apollo.io y Seamless.ai, conocidas por ofrecer extensiones de navegador para “grabar” datos de perfiles
Estas herramientas permitían a sus clientes obtener información de contacto y otros detalles de usuarios de LinkedIn de forma automatizada, algo que va en contra de las normas de la plataforma. Aunque LinkedIn no hizo un anuncio público, la repentina baja de estas empresas se interpretó como un golpe directo a los scrapers y una señal de que la compañía está endureciendo su posición para blindar los datos de sus usuarios.
No es la primera vez que LinkedIn actúa en este terreno. La empresa ha emprendido batallas legales, como la demanda contra la startup hiQ Labs por extraer datos de perfiles públicos, y ha colaborado con autoridades cuando corresponde. De hecho, organismos de protección de datos están presionando a plataformas como LinkedIn para que refuercen sus medidas de seguridad contra el scraping. La Superintendencia de Industria y Comercio de Colombia, por ejemplo, ordenó en noviembre de 2023 a LinkedIn implementar mejores barreras técnicas para evitar el acceso no autorizado a los datos de sus 12 millones de usuarios colombianos
Esta decisión vino motivada por la presunta exposición de información de alrededor de 500 millones de usuarios de LinkedIn en todo el mundo, originada por una brecha de seguridad explotada mediante “web scraping”
Es decir, LinkedIn ya ha sufrido las consecuencias de no poder frenar a tiempo la extracción masiva de datos de su plataforma, lo que compromete la privacidad de millones de personas.
LinkedIn tiene la responsabilidad (tanto ética como legal) de proteger los datos personales que gestiona. Las autoridades de varios países han enfatizado que incluso la información personal que un usuario decide hacer pública en su perfil debe estar protegida por la plataforma
Se espera que redes sociales como LinkedIn adopten medidas proactivas – desde bloqueos técnicos hasta acciones legales – para impedir el scraping no autorizado, pues de lo contrario podrían incurrir en infracciones de privacidad e incluso considerarse que ocurrió una brecha de seguridad
En resumen, LinkedIn reconoce que la confianza de sus usuarios está en juego y ha intensificado su ofensiva contra el scraping para cumplir con su deber de salvaguardar nuestros datos personales.
El paralelismo con Meta: las consecuencias del scraping en la privacidad
Los esfuerzos de LinkedIn por frenar el scraping encuentran un paralelismo claro en los problemas que ha enfrentado Meta (empresa matriz de Facebook, Instagram y WhatsApp) por prácticas similares. En los últimos años, Meta sufrió varias controversias relacionadas con la recolección masiva de datos de sus usuarios sin permiso expreso, lo que ha tenido un fuerte impacto negativo en la privacidad y le ha costado sanciones multimillonarias.
Un caso emblemático fue el escándalo de Cambridge Analytica en 2018, donde se obtuvieron datos de millones de perfiles de Facebook mediante una aplicación de terceros para fines políticos. Aquello destapó ante el mundo cómo la información personal podía ser explotada a gran escala sin que los usuarios lo supieran, y puso a Meta en el centro de la crítica global sobre protección de datos. Si bien Cambridge Analytica no fue exactamente un “scraping” (fue recolección a través de una app autorizada que abusó de la confianza), sentó precedente sobre los riesgos de extraer datos personales masivamente y marcó un antes y después en la percepción pública acerca de la privacidad en redes sociales.
Más directamente relacionado con scraping, en 2021 se reveló que datos de 533 millones de usuarios de Facebook (ahora Meta) habían sido obtenidos y publicados en foros de internet mediante técnicas automatizadas de extracción
Esta información incluía números de teléfono, emails, nombres y otros datos personales que estaban en los perfiles. Meta argumentó que no se trató de un hackeo de sus sistemas, sino del abuso de una funcionalidad (una vulnerabilidad ya corregida en 2019) que permitió a atacantes realizar scraping
En la práctica, eso no hizo mucha diferencia para los afectados: sus datos terminaron expuestos y a la venta, lo cual los puso en riesgo de spam, estafas de phishing y otros abusos
La consecuencia para Meta fue, entre otras cosas, una enorme multa de 265 millones de euros impuesta por la Comisión de Protección de Datos de Irlanda, al determinar que la compañía no había implementado las medidas de seguridad adecuadas para prevenir esa extracción masiva
El regulador concluyó que Meta violó principios básicos del GDPR, enfatizando que dada la escala de la filtración y precedentes de problemas similares, la empresa debió haber identificado y atajado antes el riesgo de scraping
Estos problemas han golpeado la reputación de Meta y han servido de llamada de atención para todas las plataformas sociales, incluyendo LinkedIn. Así como Facebook tuvo que aprender por las malas –implementando cambios para eliminar funciones vulnerables al scraping tras el escándalo.
LinkedIn comprende que no puede permitirse una brecha de igual magnitud. De hecho, LinkedIn ya vivió su propio susto cuando, en junio de 2021, se reportó que datos de ~700 millones de usuarios (prácticamente el 93% de la base de miembros de LinkedIn) fueron puestos a la venta en la red oscura tras ser recolectados mediante scraping de su plataforma. Aunque LinkedIn declaró entonces que no se había filtrado información privada sensible más allá de lo que los usuarios tenían en sus perfiles públicos, el incidente subrayó los enormes riesgos para la privacidad que implican estas prácticas incluso con datos “públicos”.
En resumen, tanto Meta como LinkedIn han comprobado que el scraping indiscriminado puede derivar en la exposición de datos personales a actores malintencionados, minando la confianza de los usuarios y atrayendo sanciones legales. Este paralelismo refuerza la importancia de que las redes sociales actúen de forma decidida contra el scraping y protejan los datos de sus comunidades.
Modelos de negocio basados en scraping: “lo público es público” vs. GDPR
A pesar de los riesgos y prohibiciones, han proliferado numerosos modelos de negocio que se basan en el scraping de datos personales de plataformas como LinkedIn, Facebook, Instagram e incluso sitios web gubernamentales. Estas empresas suelen justificarse bajo la premisa de que la información extraída es “pública” – es decir, que los propios usuarios la han hecho visible en internet – y por tanto consideran legítimo recopilarla y reutilizarla con fines comerciales. ¿Pero es válida esta defensa? La respuesta desde la perspectiva de la privacidad y las regulaciones es contundente: no lo es.
Ejemplos de estos modelos abundan. Por un lado están las herramientas de generación de leads y marketing B2B, muy populares entre equipos de ventas: extensiones de navegador o servicios web que raspan datos de contacto de profesionales en LinkedIn para crear bases de datos de posibles clientes. Empresas como Apollo, Seamless.ai, Kaspr, Lusha, entre otras, han ofrecido este tipo de productos argumentando que ayudan a conectar negocios usando información que cualquier usuario puede ver en un perfil público. Sin embargo, en la práctica están recopilando y almacenando en masa datos personales (nombres, puestos, correos, teléfonos) sin el conocimiento ni consentimiento de los titulares, algo que choca frontalmente con la normativa de protección de datos.
De hecho, la compañía francesa KASPR fue recientemente sancionada con 240.000 euros de multa por la CNIL (autoridad de datos de Francia) precisamente por extraer datos de usuarios de LinkedIn y construir con ellos una base de 160 millones de contactos para su negocio
La CNIL determinó que KASPR recopiló información de contacto de personas que no habían hecho pública esa información a todo el mundo, excediendo lo que los usuarios podían razonablemente esperar y sin una base legal que lo legitimara
Es decir, aunque la herramienta obtenía algunos datos visibles en LinkedIn, muchos usuarios habían restringido ciertos detalles solo a sus conexiones, y aun así fueron recolectados. Para las autoridades, el hecho de que esa información estuviera “online” no significaba carta blanca para su captura: al contrario, consideraron esa práctica ilegítima y contraria al GDPR.
Otro tipo de negocio polémico son las empresas de reconocimiento facial e inteligencia artificial que alimentan sus algoritmos con fotos y datos sacados de las redes. El caso de Clearview AI es ilustrativo: esta firma estadounidense recopiló más de 20 mil millones de imágenes de personas tomadas de sitios web y redes sociales (LinkedIn, Facebook, etc.) para crear un gigantesco motor de búsqueda facial
Clearview defendía que las fotos eran públicas en internet, pero múltiples reguladores en Europa (Francia, Italia, Reino Unido, etc.) concluyeron que su actividad violaba gravemente las leyes de privacidad. La razón principal es que ninguna persona espera razonablemente que su foto de perfil acabe en una base de datos biométrica mundial ni fue informada o dio consentimiento para ese uso.
Las autoridades dictaminaron que Clearview no contaba con ninguna de las condiciones de licitud del artículo 6 del GDPR para ese tratamiento masivo de datos personales, imponiendo multas millonarias y ordenando cese de sus operaciones en sus jurisdicciones
Nuevamente, quedó claro que el argumento “la información era pública, así que podemos tomarla” no tiene validez cuando se trata de proteger los derechos fundamentales de las personas sobre sus datos.
En síntesis, los modelos de negocio basados en scraping suelen chocar con los límites legales del GDPR y con las expectativas de privacidad de los usuarios. Que un dato esté accesible públicamente en una plataforma no implica que cualquier tercero pueda aspirar a capturarlo y lucrar con él sin más. Las autoridades de protección de datos a nivel global han sido enfáticas: la información personal pública sigue estando protegida por la ley y las empresas deben respetar ese marco o atenerse a sanciones.
“Lo público es público” puede sonar lógico desde la óptica empresarial, pero desde la óptica de la privacidad, lo público también tiene dueño: el usuario.
El artículo 6 del GDPR: la base legal del scraping de datos personales
El Reglamento General de Protección de Datos (GDPR) de la Unión Europea establece en su Artículo 6 las bases legales bajo las cuales se puede procesar información personal de forma lícita. Estas bases incluyen, entre otras: el consentimiento explícito del interesado, la necesidad contractual, el cumplimiento de una obligación legal, la protección de intereses vitales, el interés público o ejercicio de poderes públicos, y el llamado interés legítimo del responsable del tratamiento (siempre que no prevalezcan los derechos y libertades del individuo). Cualquier tratamiento de datos personales debe encuadrarse en al menos una de estas condiciones para considerarse legal.
Ahora bien, cuando hablamos de scraping de datos personales en redes sociales como LinkedIn, ¿cuál de estas bases podría aplicar? En la mayoría de casos de scraping comercial, no existe consentimiento de los usuarios (pues no han autorizado explícitamente a la empresa scrapera a tomar sus datos), ni relación contractual alguna con las personas cuyos perfiles se extraen. Tampoco se trata de obligaciones legales ni intereses vitales. Las empresas que realizan scraping suelen intentar ampararse en el interés legítimo (Art. 6.1.f), argumentando que tienen un interés empresarial en recopilar datos públicos para, por ejemplo, fines de marketing, investigación de mercado o seguridad, y que ese interés no vulneraría los derechos de los titulares porque la información ya era pública.
Sin embargo, el interés legítimo no se define solo por la necesidad o deseo de la empresa, debe superar un test de proporcionalidad y expectativa razonable. El GDPR exige ponderar si el uso de los datos era previsible por parte del usuario y si no causa un perjuicio indebido a su privacidad. En la práctica, los reguladores europeos han dejado claro que recolectar masivamente datos personales sin informar a los afectados difícilmente pasa este test. Por ejemplo, en la sanción a KASPR mencionada antes, la CNIL recalcó que los miembros de LinkedIn que limitaron la visibilidad de sus datos a su red de contactos jamás habrían esperado que una empresa externa accediera igualmente a ellos, por lo que ese tratamiento fue ilícito al carecer de base de legitimación
Asimismo, la ICO británica concluyó en el caso Clearview AI que ninguna de las condiciones de licitud del artículo 6 se cumplía para justificar la ingesta de miles de millones de fotos de las redes sociales
En ambos ejemplos, ni siquiera el teórico “interés legítimo” pudo sostenerse, pues los derechos de los individuos (a la privacidad, a conocer quién usa sus datos y para qué) prevalecieron frente al interés comercial de las compañías.
De hecho, sobre esta limitada base legal del “interés legítimo” ya hablamos en nuestro blog al tratar sobre si es legal el Cold Email en España bajo el GDPR.
Otro punto crucial del GDPR relacionado con el scraping es la obligación de transparencia. Cuando una empresa obtiene datos personales de fuentes indirectas (por ejemplo, extrayéndolos de internet en lugar de recabarlos del propio individuo), el artículo 14 del GDPR le obliga a informar al interesado de que posee sus datos y con qué fin los usará, salvo contadas excepciones.
Las empresas de scraping raramente cumplen esto – ¿te imaginas recibir un aviso de cada servicio que ha recopilado tu perfil de LinkedIn? – y esa falta de información ya supone otra infracción adicional. Sumado a esto, el principio de minimización de datos (usar solo los datos necesarios para una finalidad legítima) y el de limitación del plazo de conservación (no guardar datos por más tiempo del necesario) también suelen quebrantarse cuando se hace scraping indiscriminado para crear bases de datos gigantes con potencial de uso futuro indefinido.
En resumen, el GDPR impone un marco estricto que dificulta que el scraping de datos personales sea legal a menos que se haga con mucho cuidado y respeto por los derechos individuales (algo que típicamente no sucede en los casos de scraping a gran escala comercial).
El artículo 6 es claro en que toda recolección de datos requiere una justificación válida. Si esa justificación no existe – como ocurre cuando se toman datos “porque sí” solo por estar accesibles en la web – entonces el tratamiento es ilegal. Las recientes multas y acciones regulatorias en Europa corroboran que el scraping de datos personales sin base legal puede conllevar sanciones severas. La legalidad del scraping, en definitiva, depende del cumplimiento del GDPR, y no del simple hecho de que la información esté pública.
Conclusiones: protege tus datos en redes sociales
La batalla de LinkedIn contra el scraping de datos personales marca un paso importante en la protección de la privacidad en las redes sociales.
Su reciente ofensiva enviá un mensaje claro a las empresas de datos: la recolección masiva no consentida de información personal no será tolerada. Al mismo tiempo, pone de relieve que plataformas y reguladores deben trabajar de la mano para cerrar el paso a quienes buscan explotar nuestros datos sin permiso. Pero, ¿qué podemos hacer nosotros como usuarios frente a este panorama?
1. Revisa la privacidad de tus perfiles: Un primer llamado a la acción es configurar adecuadamente la privacidad en tus redes sociales. En LinkedIn, por ejemplo, decide qué datos son visibles públicamente y cuáles solo para tus contactos. Limita la exposición de información sensible (correo electrónico, número de teléfono) únicamente a las personas de tu confianza. Mientras menos datos dejes abiertos a todo el mundo, más difícil será que un scraper obtenga información valiosa sobre ti.
2. Mantente informado y alerta: Muchas veces nos enteramos de filtraciones o scraping masivo cuando ya es tarde. Por eso, sigue noticias sobre protección de datos y las políticas de las redes que usas. LinkedIn y otras plataformas suelen anunciar actualizaciones de seguridad – préstales atención. Si ves aplicaciones o extensiones sospechosas que prometen “extraer” datos de usuarios, desconfía y no las utilices. También, verifica periódicamente si tu correo u otros datos han aparecido en brechas conocidas (servicios como Have I Been Pwned pueden ayudar).
3. Exige responsabilidad y buenas prácticas: Como usuarios, tenemos voz. Podemos reportar a LinkedIn (u otras redes) cualquier actividad inusual o perfiles falsos que parezcan estar recopilando datos. Apoya las iniciativas de organismos de privacidad que buscan fortalecer la protección contra el scraping. Si tienes una empresa o trabajas con datos, procura cumplir la normativa: más allá de evitar multas, es una cuestión de ética con tus clientes y contactos.
4. Valora tu información personal: Por último, toma conciencia de que tus datos personales tienen valor. No se trata de esconderse del mundo digital, sino de compartir con criterio. Piensa dos veces antes de publicar detalles como tu número de teléfono, dirección o fecha de nacimiento en perfiles públicos. Pregúntate: ¿es necesario que esto esté visible para cualquiera? Cada dato que resguardes es un dato menos disponible para un posible scraping malicioso.
5. Si tienes un negocio: revisa tu documentación legal, incorpora cláusulas sobre si permites o no el scraping web o el acceso de bots, implementa WAF (We Application Firewall) para bloquear bots no deseados, y sobre todo, no caigas en las modas de emplear cuestionables técnicas de scraping web para alimentar tu base de datos de manera irregular. Supervisa tus estrategias de marketing, siempre, con tu equipo legal.
En conclusión, la ofensiva de LinkedIn contra el scraping de datos personales es una victoria para la privacidad, pero la lucha continúa.
El equilibrio entre una Internet abierta y la protección de los derechos individuales es delicado. Las empresas deben adaptarse a un entorno donde la normativa de privacidad es cada vez más estricta y los usuarios exigen mayor transparencia.
Si tienes un negocio digital, es clave asegurarte de que tu estrategia de captación y uso de datos cumple con el GDPR y otras normativas. La falta de cumplimiento no solo puede traer sanciones, sino también dañar la reputación de tu empresa.
👉 ¿Quieres asegurarte de que tu negocio cumple con la normativa y protege adecuadamente los datos de tus clientes? Te ayudamos a adaptar tu estrategia digital y legal para que evites riesgos. Reserva una consultoría y optimiza tu negocio con seguridad y transparencia.
💡 Y recuerda: cuida tus datos, apoya políticas de privacidad robustas y comparte este conocimiento con tu red. Solo así lograremos entornos digitales más seguros, donde el valor de la información personal esté siempre respaldado por el respeto y la responsabilidad.
